漏洞描述
在银河麒麟桌面操作系统中,开发者套件libkysdk-system为开发者提供了系统层级的API和服务,包括系统信息、磁盘信息、系统时间等功能的调用。其二进制文件/usr/bin/kySdkDbus的getHardSerial函数存在命令注入漏洞(漏洞编号:KVE-2025-0703)。攻击者可通过构造恶意输入,利用该漏洞以root权限执行任意命令,从而完全控制系统。
影响版本:
银河麒麟桌面操作系统 V10 SP1 2403 Update1
银河麒麟桌面操作系统 V10 SP1 2403 Update2
银河麒麟桌面操作系统 V10 SP1 2503